文/李燕 中国政法大学互联网金融法治研究中心研究员

蔡凯龙 中国人民大学金融科技研究所高级研究员

当下我国的个人信息保护立法正在推进之中,由于数据共享缺乏法律依据,机构展业面临较大的政策不确定性,最大的风险亦来自于数据安全与个人信息隐私层面面临的风险。因此,能否解决好数据共享所带来的问题和挑战,是开放银行成功与否的关键。

数据共享是开放银行所需面对的核心问题

近年来,西方国家发起的金融业数据共享模式,将全球金融科技的竞争带入共享新纪元。2004年PayPal推出PayPal API(Application Programming Interface,应用程序编程接口),可视为开放银行发展的开端。2011年,法国农业信贷银行开始提供SDK(Software Development Kit,软件开发工具包)和应用商店服务,基于SDK、API的数据开放进入业界视线。近些年,开放银行模式在全球范围内逐步被采纳并迅速发展,其中英国对于开放银行理念的发展和推动起到了引领和示范作用。紧随英国的步伐,欧盟、澳大利亚、新加坡、韩国、日本等国家和地区纷纷推行这一模式,培育开放银行业务,筹备相应的监管政策。据麦肯锡统计,目前全球已有30余家国家和地区已经或正在采纳开放银行模式,其所覆盖的产品约占收入池的90%。随后中国的市场机构也开启了开放银行探索之旅,一些银行业机构展开了相应的战略行动,2018年被视为中国开放银行元年。

目前,开放银行还未形成系统性的商业模式和行为规则,对其认识尚未形成共识。欧洲银行管理局(EBA)认为,开放银行是“连接两个世界的一场运动”,使客户在其他服务场景下享受银行服务成为可能,通过彼此的基础设施将银行和非银机构的创新功能连接起来;而Gartner公司将其界定为在法律和监管保障数据安全性的前提下,银行通过开放客户账户信息系统和支付系统访问权限等方式,向已授权可信第三方服务商及其他合作伙伴等共享数据、算法、交易、流程和其他业务功能的模式。因此,我们可以把开放银行理解为基于银行与第三方数据共享所带来的业务融合和创新。

数据共享需要界定数据的权属和价值,形成相关交易市场,成为公共物品或是准公共物品。然而,相比一般的商品,数据有着极其独特的属性。比对来看,商品的所有权一般受一国物权法或财产法保护,一般商品的权属明确,有相关交易市场,价值可被计算或可在交易中体现,使用后会发生损耗。而数据的权属不仅不容易界定清晰,而且缺少统一的交易市场,价值难以被精准衡量。尽管某些数据符合非竞争性的要求,如不存在单次使用后效用减少的问题,也不存在妨碍他人对该数据的再次利用的问题,有望成为公共物品,但数据除了财产上的利用价值,还呈现出人格权属性乃至国家主权属性,因而在隐私性和安全性等方面,对金融数据的控制者和处理者提出了极高的要求。当前中国的个人信息保护的立法正在推进之中,机构展业面临较大的政策不确定性,风险亦来自于数据安全与个人信息层面面临的问题。能否解决好数据共享所带来的问题和挑战,是开放银行成功与否的关键。在中国推广开放银行的难点也在于此,需要找到发挥社会价值与保护隐私之间的平衡点。

开放银行数据开放的两种模式

开放银行的数据开放模式可分为两种模式。第一种模式是自建API平台模式。大型银行拥有相对丰厚的数据与较强的技术能力,通常自建平台开放下层API用以对接商业生态。此类API开放平台类似于商城,外部开发者在银行提供的数据沙盒中调取数据,开发应用完成后进行测试,测试成功且该平台有相关合作意向,可向真实市场投放产品。通过自建API平台,银行和平台使用者可发挥各自专长。银行可专注于风险控制能力的提升和数字服务的打造,平台使用者则推动各类金融服务融入生活场景、行业场景,给消费者和企业持续创造价值。

此种模式的典型机构有西班牙对外银行(简称BBVA)、花旗银行等机构。如BBVA对客户正式开放的API Market(API开放市场),花旗银行推出的API Developer Hub(API开发者中心)等。在API类型方面,根据机构官网数据,BBVA的API开放市场共计开放10余类API接口,主要基于零售客群数据、企业客群数据、多渠道数据整合和支付贷款授权;花旗银行的API开发者中心推出了账户授权、账户数据、客户数据等近10类API接口,主要基于客群数据和服务授权。其中,花旗银行通过与Wonder的合作,向Wonder开放了银行积分API,当用户在Wonder App上使用花旗银行的信用卡进行支付时,可使用点数积分抵现。

第二种模式是第三方API平台模式。与传统大型银行自建API平台模式有所不同,技术相对薄弱、资金相对不足、场景连接能力较弱的中小银行可通过与第三方平台合作,对合作机构开放API接口,借助中间媒介连接外部生态。第三方API开放平台模式的底层是中小银行,它们提供账户管理、支付服务等金融服务和金融交易数据,并向第三方API平台开放数据接口。第三方API平台则通过聚合多家金融机构数据,可进一步将数据功能模块化、接口标准化,可提供如H5页面、SDK、API、SaaS平台接入等多种数据调用方式,协助中小银行对接商业生态层用户。典型机构如Solaries Bank等连接着种类多样的商业银行与商业应用生态。中小银行多通过此类合作寻求开放银行的可能路径。

吸取经验构建开放银行数据共享规则

实践表明,由市场推动的美国式自下而上的金融数据共享存在弊端。因缺少统一的标准和明确的法律规范,金融科技公司分别和众多金融机构签订数据合作协议,连接不同的数据格式,导致过程复杂,成本巨大。因此,为提升遵从法规的效率,笔者建议通过自上而下的方式设定适当的监管标准和规则。

首先是明确金融数据的监管机构。监管机构在开放银行体系里至关重要,因此需要明确是由独立的政府部门还是协同的政府部门承担监管责任和权力。目前各国的监管体系不一,比如,英国由竞争与市场管理局主导,美国由消费者金融保护局主导,新加坡由金融管理局主导,日本则由央行和金融服务局共同监管。在我国,建议可由中国人民银行主导,协同中国银保监会和国家互联网信息办公室作为开放银行计划的推动者和最终监管者。

其次是通过沙盒测试支持价值创造。开放银行的目的是降低信息孤岛隔阂所带来的社会成本,提升金融效率,增进消费福祉。由于个人信息保护相关法律还待出台,现阶段建议可借鉴英国监管沙盒的监管方式采取临时性监管来管控风险,这有助于鼓励机构开展更多的金融科技测试,设定开放银行创新业务的准入原则和标准,以平衡金融消费者、银行、第三方科技公司、生态场景服务企业等多方利益,实现良好的数据交互和监管交流机制,推动开放银行的健康、可持续发展。监管机构可提前接受金融科技公司和银行作为联合发起方申请监管沙盒测试,在测试过程中需完成信息披露,测试完成即意味着监管沙盒阶段的临时性监管结束,可在产品投入市场后接受监管机构的持续性监管。沙盒的评估标准可设定为能够改善安全和客户体验、节省成本、提高运行效率或扩展到新的细分市场,并且将消费者隐私保护嵌入到产品生命周期之中。

最后是推动形成数据共享的技术应用标准。共享的技术标准包括共享数据的格式标准、传输接口标准、安全标准等方面,政府部门可推动形成行业和国家标准,形成数据标准的格式,强化合作者之间的信任机制,降低共享的成本,提高共享的效率。在制定标准的过程中,建议引入公众参与机制,成立标准制定工作组,吸收利益相关者意见,比如大型银行、中小银行、第三方金融科技公司、生态场景服务企业和用户代表,同时引入独立的外部专家,以达到公平公正的目的。

明确共享范围解决数据共享关键问题

第一,划定共享数据的范围。笔者梳理了金融数据的类别,可大致分为四类。第一类是用户的基本资料、身份信息、生物识别信息、存款信息等个人信息,包括姓名、身份证、住址、通信通讯联系方式、存款信息、指纹、声纹、虹膜和面部特征等数据,这些数据的所有权属于用户并授权银行使用。第二类是用户在银行的交易原始数据,包括交易记录、信贷记录、征信信息、流水记录等,但这些个人信息的权属如何界定?有观点认为此类数据所有权是个人,因为是基于个人行为产生;有观点认为数据所有权属于银行,因为是在银行提供的物理和网络场所中产生且银行斥巨资进行管理和保护。笔者倾向于前者,个人交易原始数据属于个人,银行是此类数据的控制者和处理者,通过获取用户的授权或是基于国家安全以及重大公共利益等特定事项经由银行可对特定第三方开放共享权限。第三类是用户原始交易数据的二次加工且脱敏信息,这类数据是银行通过数据分析能力积累的增值信息,属于银行的商业秘密,银行可自行决定是否对第三方开放使用权,无需经由用户同意。第四类是银行金融产品的数据,比如利率、费用、服务条件,分支行信息和ATM地点等信息。明确各类金融数据权属是共享的基础,第三类和第四类数据银行可自行决定共享方式而无需用户授权;第一类和第二类数据一般需要获取用户授权同意,仅出于合法、正当、必要、特定、明确的目的进行共享,且尽量对共享内容中的个人信息进行去标识化处理。

第二,明确收益共享和风险分担机制。数据是一种资产,也是一种责任。一方面,应该允许参与方能通过开放数据收取收益共享、API调用费用、洞察数据费用等各类形式的合理费用,具体可由参与者之间自行协商定价,并可考虑借鉴美国加州隐私保护的立法模式,允许向提供数据的消费者提供资金激励。另一方面,在数据事故的责任分担方面,需要监管部门给予市场机构指导和规范,此外还可以引导参与者购买保险产品进行风险预防。

第三,平衡数据保护与共享的关系。开放银行的发起者和授权者是用户,保护隐私和信息安全是保护用户信赖利益的核心。这就需要给予用户隐私政策告知(privacy notice),让用户对共享数据的范围、对象、时间和用途等一目了然,享有撤回共享授权、改变共享时间跨度、改变授权时效等个性化选择,保障用户知晓个人信息如何被采集、储存、使用和共享,以及赋予消费者对个人信息的自我控制权。同时,可考虑将开放银行共享的信息与业务流程通过行业协会进行公示,让数据共享的商业行为透明化,接受社会公众的监督。近年来国家高度重视数据领域的立法工作,《网络安全法》及其配套制度文件的推出,《个人信息保护法》《数据安全法》的制定对市场机构的数据合规工作提出更高要求。但监管在制定隐私和安全保护的规定时也不能过犹不及,我国可考虑借鉴国外的数据平衡测试等方式,通过平衡测试的数据控制者可豁免获取数据主体的同意进行数据处理,以此平衡各方法律权益并避免陷入用户自决权的僵局。

第四,引入数据共享的争议解决机制和准入标准。为用户提供清晰的问题解决途径和有效的投诉渠道,能够激励更多的用户参与数据共享。银行是品牌运营方,也是数据争议直接的应诉方和投诉处理者,但银行并不一定是真正的责任方,银行可依据双方的合作协议(参考监管部门的指导规范或标准制定),调查投诉事件发生的缘由认定责任方(或是银行系统管理不善或是第三方金融科技公司不当操作所造成),由最终的责任方应该承担其相应的义务和法律后果。无论如何,银行有义务把事件和调查结果上报给监管机构以及行业协会,这对监管部门和行业自律组织评估、完善开放银行体系,进一步制定第三方金融科技公司的准入标准有较好的参考价值(文章仅代表个人观点,不代表所服务机构立场)。

本文原载于《中国银行业》杂志2019年第7期。

声明:本文来自中国银行业杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。